Okumura's Blog

Naxos Music Library，月額1890円，128kbpsストリーミングでNaxosレーベルのクラシック曲が無制限に聞ける。しまった，忙しいときに楽しいニュースに接してしまった。珍しいブルックナー交響曲第8番のオルガン演奏を見つけた。ブルックナーの原点ここに在り。

ただ初日効果かもしれないが輻輳して128kbpsではぶつぶつ切れる。しばらく様子を見てから決めよう。

@niftyの「常時安全セキュリティ24」、不具合で1,518名がSasserに感染（INTERNET Watch）。2004年4月のMS04-011パッチを適用していれば大丈夫なはずのSasserに感染した人が38,197人中1,518人もいた。しかも毎月525円（税込み）払って@niftyの常時安全セキュリティ24に入っていたセキュリティ意識の高い人たちだ。1年半もWindows Updateしていなかったのだろうか。

あちこちに同様な統計が載っていると思うが，今日届いた日経コンピュータ11月14日号p.17：「普及せぬ電子申請、平均利用率は1%未満　本誌調査で明らかに、利用率「不明」のシステムも」，例えば文科省は年間運用コスト1.2億円，2004年度の利用はたった8件。総務省みたいに開発コストも運用コストも「公開しない」ところもある。

自治体の電子申請については『日経BPガバメントテクノロジー』今年秋号の特集「使われる電子申請を目指して」が参考になる。

なぜ使われないかは，使ってみればわかるのだろう。どうすれば使えるものになるのかの提言，あるいはミニ電子申請システムの開発と評価など，学生にもできることは多い。

今年度から完全施行された個人情報保護法，みんなICカードや生体認証を導入したりして個人情報が漏れないように戦々恐々とする一方，過剰保護反対の声も挙がり，このブログの間違いだらけの個人情報保護でも議論になっているように「間違い　クラス名簿や緊急連絡網の紛失は個人情報の漏洩となる」「回答　学校の管理責任が問われるものではないので、大丈夫です」といった問答が一人歩きし始めている。著名弁護士さんがこんなこと書いていいのかいな，と思っていたら，北海道で警察の捜査資料がWinnyで流出した事件で札幌高裁は「情報流出の予見可能性があったとは言えない」として一審の「注意義務に違反」とする判決を覆した（江別署捜査書類ネット流出　原告の男性逆転敗訴　札幌高裁が４０万円賠償取り消す -- 北海道新聞）。これなら「間違い　捜査資料の流出は個人情報の漏洩となる」「回答　警察の注意義務が問われるものではないので大丈夫です」を問答集に追加してもよさそうだ。

原告側は上告する方針とのこと。ぜひ最高裁は「やる気」を見せてほしい。

この俗説の根拠をご存知でしたら教えてください。

Wired News: No Subscription for Spam Reliefによれば，米国FTCが215通のスパムの「unsubscribe」（「メールを送らないでほしい」）リンクに答える実験をしたが，スパムは増えも減りもしなかったという。

一方，Wired News: Spam Offers: Some Legit, Most Notは，返信するとスパムが増えたと主張する。しかし，この返信というのはunsubscribeではなく「詳しい情報が欲しい」という返事である。さらに，この著者の記事は根拠不十分であることが判明しているという編集者の注意書きが付いている。

私も一時実験したが，特に増えはしなかった。むしろ若干減ったような気もしたが，いずれにせよ有意とは思えない。

誰か卒業研究で実験をやってみませんか？＞学生諸君。

追記：スパム業者とやりとりしてみるBlogというのを見つけた。

英国のオンライン大学The Open UniversityのNews Releasesの11月8日の2番目にあるように The Open University builds student online environment with Moodle and more とのこと。full news release はWordファイル。

MoodleのすべてのバージョンにSQL injection/remote command executionの脆弱性があることが1110日に公開された。12日10時現在，Moodleサイトのトップにはアナウンスされていないが，左下のGoogle Newsブロックに次の二つの項目が現れている：

• FrSIRT Advisories - Moodle Remote SQL Injection and Cross Site Scripting Vulnerabilities / Exploit
• Secunia - Advisories - Moodle Cross-Site Scripting and SQL Injection Vulnerabilities

トップからリンクされていないMoodle Security Centerでアナウンスされた。対策は，PHPの設定をregister_globals=offにすれば大丈夫。magic_quotes_gpc=onでもいい。この二つとも設定されていないことは少ないという点では影響は大きくないであろう（がデータベースに対して何でもできてしまうという点では大変危険である）。うちのサイトはregister_globals=offになっているので大丈夫。これらの値はphp.iniで設定するが，もしそれができないなら，Moodleディレクトリの中に

php_flag register_globals off

と書いたファイル .htaccess を入れておけばよい。ただしApacheの設定によってはこれも効かないことがあるので管理者に相談されたい（→PHP: 設定を変更するには - Manual）。

RealPlayerに複数の脆弱性、外部からコードが実行される恐れも（INTERNET Watch），Windows版はもとよりMac版，Linux版のRealPlayer 10も。起動してメニューから更新チェックを選べばよい。

ついでに，Sony製rootkitで騒がれているがMacにも何か変なものがインストールされるという（→Slashdot | Sony Music CD's Contain Mac DRM Software Too）。Mac OS Xはsudoのためパスワードを聞いてくるので答えなければいいらしい。

経産省の全国情報セキュリティ啓発キャラバンJNSA インターネット安全教室と，総務省のｅ−ネットキャラバン（→総務省の報道資料）って，省庁間の縄張り争い？

もうすでにスラッシュドット ジャパン | 政府インターネットテレビ始まるなどで騒がれているように，WindowsとIE以外の組合せで見るとオープニング以外は「ブラウザとプレイヤーは、対象外です。」と言われてしまう。SafariでUAを偽装しても駄目だった。IT即Windowsということなのだろう。